Q Qualys. 


MySQL 認証 (PC) 


認証 スキ ャ ン に 


し 、 最も 正確 な 結果 を 


得 


関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認証 を 設定 し て 使用 する と 、 ホ スト を さら に 詳し く 評 1f 


し 、 誤 検出 を 減ら すこ と が で きま す 。 本 書 で は 、 コ ンプ ライ アン スス キャ ン に お ける 


MySQL 認証 の 設定 


考慮 すべ き 事項 


認証 を 使用 する 理由 
認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 


する こと で 、 テ スト 
より 適切 に 可視 化す る こと が で きま す 。 


資格 情報 の 安全 性 に つい て 


資格 情報 は 、 読み取 り 専 
か を 書き 込ん だ りす る と いう こと 


行 中 に の み 使 


操作 手順 


す 。 


まず 、 対 象 の ホス 
Compliance を 使用 し て 次 の 手 
ン を 開始 し ます 。 3 


MySQL 資格 情報 


| され ます 。 


上 で 租 記 証 E ス キャ ン / 


に 関す る ヒン ト と ベス ト プ ラ クティ ス に つい て 説明 し ます 。 


(に こ 更 に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で す 。 


用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し た り 、 何 
は 、 決 し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 し た 状態 で 扱わ れ 、 ス キャ ン の 実 


認証 レポ ー ト を 実行 し て 、 スキ ャ ン 対 象 の 各 ホ スト で 認証 が 成功 また ょ 失敗 し た ヵ を 確認 し ま 


スキ ャ ン を 実行 


する 前 に 


意 さ れ て いま 3 


存 有 


「。 これ ら の スク リプ ト に ( 


E し て し 要 が ある アカ ウン ト と 権限 を 設定 する た め に 、 以 下 の ス クリ プ ト の セッ ト が 


H の MySQL ユー ザ ア カ ウ ント と 権限 を 設定 し ます 。 次 に 、Qualys Policy 


E 順 を 実行 し ます 。 1) MySQL 認証 レコ ー ド を 追加 し ます 。 2) LO 


よ 、root や Administrator な どの スー パー ユー ザ ア カ ウ ント が 必要 で す 。 


指定 の スク リプ ト を 表示 され た 順序 で 実行 し て くだ さい 。 


1) 「mysql」 デ ー タ ベー ス 内 の ユー ザ ア カ ウ ント の 作成 


この スク リプ ト 


に より QUALYS SCAN と いう 名 前 の ユー ザ ア カ ウ ント が 作成 され 


す 。 スク リプ ト を 実行 する 前 に 、 パ 


スワ ー ド を 指定 し て くだ さい 。 ここ で は スキ ャ ナ か とら 実行 可能 な り モ ー ト ユー ザ を 作成 する た め 、「%」 の 使用 は 必須 


短 上 


CREATE USER ‘QUALYS_SCAN’@’%’ IDENTIFIED BY (に ここ に バス ワー ド を 入力 1: 


注記 - ホス ト 値 に ワイ ルド カー ド を 使用 


する た め 、 こ の 方 法 で MySQL ユー ザ ア カ ウ ント を 作成 する と ある 程度 の リ 


スク が 生じ ます 。 これ は 、 デ ー タ ベー スイ ンス トー ル の 正常 な スキ ャ ン を 確実 に 実行 で きる 一 般 的 な 方 法 で す 。 


無断 複写 ・ 転 載 を 禁じ ます 。 2015-2020 年 クキ リス ジャ パン 株 式 会 社 1 


この 他 に 、 よ り 高い セキ ュ リ ティ を 想定 し た ユー ザ ア カ ウ ント を 作成 する 方 法 も あり ます 。 MySQL で は 、IP アド レス ま 
た は その バリ エー ショ ン の いずれ か を 使用 し て ユー ザ ア カ ウ ント を 作成 で きま す 。 その 1 つの 方 法 は 、 Qualys 
Scanner Appliance の IP アド レス を 特定 し て 、 そ の IP アドレス に よっ て ユー ザ ア カ ウ ント を 作成 する こと で す 。 例え 
ば 、 ス キャ ナ の IP アド レス が 192.168.100.1 の 場合 、 スク リプ ト は 次 の よう に な り ま す 。 


CRBATE USER *QUALYS SCAN'@'192.168.100.1' IDBNTIFIBD BY (に ここ に パ バス ワー ド を 入力 ]': 


デー タベース サー バ と Qualys スキ ャ ナ が 同じ サブ ネッ ト 内 に ある 場合 、 サブ ネッ ト を 使用 する こと も で きま す 。 ワイ 
ルド カー ド を 使用 し て 、 ユ ー ザ アカ ウン ト を さま ざま な 方 法 で 作成 で きま す 。 


CREATE USER ‘QUALYS SCAN'@'192.168.100.% IDENTIFIED BY | ここ に ヶ パス ワー ド を 入力 ] : 
また は 
CREATE USER ‘QUALYS SCAN'@⑦'192.168.%.% IDENTIFIED BY ES ドラ リド 


より 安全 な 接続 を 提供 する も う 1 つの 方 法 は 、 ネ ットワーク 層 で 対処 する こと で す 。 ファ イア ウォ ー ル ACL を 調整 す 
る こと で 、 望ま し く な い ア クティ ビ テ ィ か ら 保 護 で きま す 。 


SSL 認証 


MySQL 認証 は SSL に も 対応 し て いま す 。 MySQL 認証 レコ ー ド に サー バ SSL 証明 書 を 設定 お よび 適用 で きる だ 
け で な く 、 ク ライ アン ト SSL 証明 書 に よる セキ ュ リ ティ 強化 も サポ ー ト し て いま す 。 これ は 、QUALYS SCAN ユー ザ 
に 対し て 設定 で きま す 。 mysqlLuser テー ブル 内 で 、 ク ライ アン ト SSL 証明 書 を 受け 入れ る よう に ユー ザ を 変更 する 
と 、 セキ ュ リ ティ 強化 の た め の 複 数 の 制限 を 追加 で きる よう に な り ま す 。 


nn 


MySQL 認証 レコ ー ド で は 、 オ プシ ョ ン で クラ イア ント SSL 証明 書 と 秘密 鍵 を 追加 で きま す 。 


2) スキ ャ ン ア カウ ント へ の 権限 の 付与 


この スク リプ ト に より 、 ス キャ ン に 使用 され る ユー ザ ア カ ウ ント に 権限 が 付与 され ます 。 認証 が 正常 に 実行 され 、 コ ン 
プラ イア ンス スキ ャ ン が 実行 され る た め に は 、 次 の 権限 が 必要 で す 。 


GRANT SELECT ON MYSOL.USER TO QUALYS SCAN: 

GRANT SELECT ON MYSOL.DB TO QUALYS _ SCAN: 

GRANT SELECT ON INFORMATION SCHEMA.PLUGINS TO QUALYS SCAN: 
GRANT SELECT ON MYSOL.TABLES PRIV TO QUALYS SCAN: 


レプ リケーション を 扱う コン トロ ー ル を スキ ャ ン す る 場合 、 続 け て 以下 を 行い ます 。 


GRANT SELECT ON MYSOL.SLAVE MASTER INFO TO QUALYS SCAN: 


以上 の 権限 付与 を 実行 し た 後 、 権 限 を フラ ッシュ し て グラ ント テー ブル を 再生 成 し ま す 。 


FLUSH PRIVILEGES: 
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3) スキ ャ ン ア カウ ント の 権限 の 確認 


スキ ャ ン に 使用 3 れる ユー ザ ア カ ウ ント で 不足 し て いる 権限 の 特定 に 利用 で きる スク リプ ト を zip アー カイ ブ 内 に 用 


意 し て いま す 。 これ ら の スク リプ ト は 、QG_ MySQL Auth verx.x.txt ファ イル 内 に あり ます 。 この スク リプ ト は 、 適切 な 


権限 が すべ て 正しく 設定 され て いる か どう か を 確認 する た め の も の で 、 データベース の スー パ 


けれ ば な り ま せん 。 この スク リプ トト に より 、 すべ て の 必須 項目 の 状態 を 表示 する 出力 が 生成 され ます 。 


出力 例 
キーーーーーーーーーーーーーーーーーーー ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー + 
Prerequisites Status 
ナーーーーーーーーーーーーーーーーーーー ナーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー- + 
root@localhost <---Current logged on user 
QUALYS SCAN PASSED - account exists 
USER PASSED - SELECT privilege exists 
DB PASSED - SELECT privilege exists 
PLUGINS PASSED - SELECT privilege exists 
SLAVE MASTER INFO FAILED - SELECT privilege does not exist 
TABLES PRIV PASSED - SELECT privilege exists 
キーーーーーーーーーーーーーーーー--- キーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー---- + 


ユー ザ が 実行 し な 


** レプ リケーション が セッ ト ア ッ プ され て いな い 場 合 、SLAVE_ MASTER INFO の エン トリ の ステ ー タ ス は 


IFAILED」 に な る こと に 注意 し て くだ さい 。 その 場合 で も 、 ス キャ ン は 実行 され ます 。 


MySQL 認証 レコ ー ド 一 
‘= Scans fscans Maps Schedules Appliances 
スキ ャ ン 対 象 の 各 MySQL イン スタ ンス に 対し て 個別 の 
認証 レコ ー ド を 作成 する 必要 が あり ます 。 スキ ャ ン の 際 、 iis 
アカ ウン ト の すべ て の MySQL 認証 レコ ー ド を 使用 し て 、 ee 
1 つの ホス ト で 1 つま た は 複数 の MySQL イン スタ ンス = ーー ーー 
が 認証 され ます 。 | Nehyorkandsecu.。 rl 
AgentTest | Appiications.. , 10.115.76.151-10.115.76.152 
レコ ー ド を 作成 する 場所 Global Default| Databases.… | ijBMDB2 5 76 152 
VMware.. 3 InformixDB 
Global Default 
「Scans | > 「 Authentication ] > 「New」 > 「Databases 」 > og System Record Templates... py MariaDB 
「MySQL Record」 に 移 動 し ます 。 ee Authentication Vaults Me 
MS SQL 


Global Default 


Download.… 
Agent Test Un 区 
Global Default Network Un 区 
Global Default Network Oracle 
Global Default Network Oracle 
Global Default Network Oracle 


Cwsa う | 


Oracle 
Oracle Lisiener 
Pivotal Greenplum 
PostgreSQL 
Sybase 

Test Oracle Basic 
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必要 な デー タベース 情報 
認証 する デー タベース 名 と デー タ 
ベー ス が 実行 され て いる ポー ト を 指 
定 し ます (また は 、 デ フォ ルト の 
デー タベース 名 と ポー ト を 使用 し ま 
す )。 


ヒン ト - MySQL は 、 ログ イン 失敗 カ 
ウン タ を 維持 する こと に より 、 ポー ト 
スキ ャ ン か ら の 保護 を 積極 的 に 実 
行 す る こと に 注意 し て くだ さい 。 正 
常に ログ イン を 完了 する こと な く M 
ySQL の ポー ト に 接続 を 試み る と 、 
この カウ ンタ が イン クリ メン ト し ます 。 


これ を 意識 し て お く こ と は 管理 者 に と っ て 必要 で す 。 


MySQL Authentication Record 


Record Title 


Login Credentials > 


Cancel 


最終 的 に 、 サ 


LaunchHelp 図 x 


Access to the MySQL configuration file is required to run certain checks. A Windows file is required for Windows 
hosts, and a Unix file is required for Unix hosts. 


Windows Config File 
C:\Program FilesWMySQLWySQL Server 4.1\my.ini 


Unix Config File: /etc/mysqmy.cnf 


letcimysqlmy.cnf 


バ が デ 


タベース へ の TCP 接続 の 受け 入れ 


を 停止 する た めで す 。 管理 者 は 「mysqladmin fhush-hosts」 コ マン ド を 発行 し て カウ ンタ を リセ ッ ト し 、 カウ ンタ 値 が 低 
すぎ る 値 に 設定 され て いな いか 調べ て 、 値 を 大 きく する こと が 推奨 され ます 。 


MySQL 構成 ファ イル 


必須 で は あり ませ ん が 、 重 要 な の 
は 、 認証 レ コー ド 内 に MySQL 構 
成 フ ァイル の 場所 を 指定 する こと で 
す 。 この ファ イル は 、 特定 の チェ ッ ク 
で 必要 に な り ま す 。Unix と 
Windows の 場合 、 こ の ファ イル は 
探し て いる 情報 を 入力 する うえ で 必 
要 な 情報 の 収集 に 役立ち ます 。 


レコ ー ド に IP を 追加 する 


入力 され た 資格 情報 を 使用 し て ス 
キャ ン エ ンジ ン が ログ イン する 必要 
が ある MySQL デー タベース の TP 
アド レス を 選択 し ます 。 
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MySQL Authentication Record 


Record Titie 


Login Credentials >» 


Cancel 
| 


MySQL Authentication Record 


Record Title 


Login Credentials 


Cancel 


LaunchHelp 図 % 


Database Information 
Tell us the database instance to authenticate to. 
Database Name: * mysal 


Port * 3306 


(Defaultis 3306) 


LaunchHelip 回 X% 


SSL の 必要 性 MySQL Authentication Record 

SSL を 使用 する と 、 デ ー タ ベー ス 5 

に 安全 に 接続 で きま す 。 デー タ 
ベー ス サ ー バ が SSL に 対応 し て ROE ER 
いる 場合 、「SSL Verify」 を 選択 す ao 

れ ば 、SSL で 保護 され た リン ク を リ 
クエ スト する こと に な り ま す 。 サー a 
バ の SSL 証明 書 の 検証 も 実施 さ My 
れ ま す 。 デフ ォ ル ト で は 、 こ の オプ 9 
ショ ン は false に 設定 され て いま 
す 。 


Launch Help 


Login Credentials 


最終 更新 日 : 2020 年 6 月 19 日 
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